Ransomware en empresa: qué hacer en los primeros 30 minutos (sin empeorar el daño)
Antes de tocar nada: confirma señales típicas
Marca como “incidente crítico” si ves 1 o más:
✅Archivos con extensiones desconocidas + imposibilidad de abrir.
✅Nota de rescate en múltiples equipos/servidores.
✅Picos de CPU/IO en servidores de archivos o virtualización.
✅Alertas EDR/XDR de cifrado masivo o ejecución anómala.
✅Usuarios reportan caída general de servicios + cambios de contraseñas inexplicables.
📍 ¿Vas a implementar agentes de IA este año?
Hagamos una evaluación rápida de permisos, herramientas y compuertas antes de ponerlos en producción.
Playbook: primeros 30 minutos (paso a paso)
0–5 minutos: declarar y controlar el caos
- Declara incidente y nombra un “Incident Commander” (1 persona decide).
- Congela cambios no controlados: nadie “reinstala”, “formatea” o “apaga” por su cuenta.
- Define el alcance preliminar: ¿solo PCs? ¿servidores? ¿carpeta compartida? ¿ERP? ¿M365?
- No reinicies servidores “para ver si vuelve”.
- No borres archivos cifrados ni “limpies” la nota.
- No pagues ni negocies antes de confirmar alcance y opciones reales de recuperación.
5–15 minutos: contención (detener el sangrado)
- Servidor de archivos
- Controladores de dominio (AD)
- Virtualización (vCenter/ESXi/Hyper-V)
- Backups (consola, repositorios, credenciales)
6. Deshabilita accesos de alto riesgo temporalmente:
- cuentas admin no esenciales
- accesos remotos no críticos (VPN/RDP) hasta validar
15–30 minutos: preservar evidencia + preparar recuperación
- lista de equipos/servidores afectados (hostname, IP, usuario)
- hora aproximada del primer síntoma
- capturas de pantalla de nota de rescate (si existe)
- logs/alertas del EDR/SIEM (export básico)
- ¿último backup “bueno” antes del incidente
- ¿repositorios accesibles/inmutables o sospechosos?
- RPO real (hasta qué punto puedes volver) y RTO objetivo (cuánto downtime toleras)
- propagación detenida o acotada
- activos críticos protegidos
- evidencia mínima guardada
- plan de continuidad activado (RTO/RPO definidos)
Checklist rápido (copiable para WhatsApp/Teams)
Lo que más empeora el daño (y lo vemos en rescates reales)
- Reimágenes masivas sin cerrar la puerta (AD/M365) → reinfección.
- Apagar servidores críticos indiscriminadamente → pérdida de evidencia y caos de continuidad.
- Restaurar “a ciegas” → vuelves a introducir el atacante.
- No proteger backups → el atacante los cifra o borra y te deja sin salida.
- Decisiones sin RTO/RPO → recuperación desordenada y más downtime.
Lo que más empeora el daño (y lo vemos en rescates reales)
¿Debo apagar los equipos infectados?
No como reacción automática. Primero aísla. Apagar puede destruir evidencia útil y no siempre detiene el problema si ya hay otros vectores activos.
¿Qué prioridad es más importante: servidores o PCs?
Primero activos críticos (AD, virtualización, backups, servidor de archivos). Las PCs suelen ser el “síntoma”; el daño real es perder control de identidad y recuperación.
¿Cómo sé si el Active Directory está comprometido?
Señales comunes: uso anómalo de cuentas privilegiadas, cambios inesperados en políticas, nuevos admins, picos de autenticaciones, herramientas de administración fuera de patrón. Requiere verificación rápida con logs/EDR.
¿Es buena idea pagar el rescate?
Es una decisión de negocio, legal y riesgo. Técnicamente, pagar no garantiza recuperación ni que no exista persistencia. Primero mide opciones reales (backups, alcance, tiempo, datos sensibles).
¿Cuándo es seguro restaurar?
Cuando tengas contención, credenciales controladas, y validación mínima de que el atacante no mantiene acceso. Restaurar sin esto suele terminar en reinfección.
¿Cómo sé si mis backups están seguros?
Solo están seguros si tienes una copia “fuera de línea” o en un repositorio inmutable que el ransomware no pueda modificar incluso si tiene credenciales de administrador.
Suscríbete a Nuestro Blog: Mantente actualizado con las últimas noticias y consejos en ciberseguridad. Suscríbete ahora.
